Mettre en œuvrele contrôle internedans un contexte réglementaire mouvantOù en sont les entreprises ?Eric Dugelay
13 décembre 2007
1. Rappels sur le contrôle interne.
2. Le contexte réglementaire.
3. Résultats de nos travaux.
3 ©2007 Deloitte Conseil
La démarche de contrôle interne est permanente
Toute démarche de contrôle interne doit être initiée par la Direction Générale de l’entreprise qui, en s’appuyant sur une organisation interne et un dispositif approprié, a pour objectif de confirmer la maîtrise des processus et des risques au sein de l’entreprise
Vérification de l’existence et de l’efficacité
• Auto-évaluation• Tests de cheminement• Tests sur échantillon• Etc.
Diagnostic de l’existant
• Auto-évaluation• Inventaire des procédures et des risques• Analyse de la conception des contrôles• Etc.
Organisation interne
• Directions opérationnelles• Directions fonctionnelles • Audit Interne• Outils informatiques• Méthodologies• Etc.
Amélioration du dispositifet pérennisation
• Identification des plans d’action• Actions correctrices• Evaluation suite à correction • Harmonisation / Optimisation
4 ©2007 Deloitte Conseil
De nombreux acteurs sont impliqués pour répondre à la diversité des enjeux du contrôle interne
Diverses Directions participent au dispositif de contrôle interne et assistent la Direction Générale à identifier, évaluer, optimiser et péréniser un dispositif efficace pour maîtriser les enjeux de l’entreprise
DirectionGénérale
Direction duContrôle Interne
Audit Interne
DirectionFinancière
DirectionsOpérationnelles
RiskManagement
DirectionInformatique
Dispositif de contrôle interneDispositif de contrôle interne
Renforcer lagouvernance
Maîtriser lesrisques
Clarifier lesresponsabilités
Fiabiliserl‘info financière
Optimiserles processus
Prévenirla fraude
Enjeux
1. Rappels sur le contrôle interne.
2. Le contexte réglementaire.
3. Résultats de nos travaux.
6 ©2007 Deloitte Conseil
Le contexte réglementaireL’environnement français
2003 2004 2005 2006 2007
LSFCNCC
AMF
LSF Loi Breton
AT CNCC
NEP sur le rapport CI
1er groupe
de place
Lancement du groupe de place
Rapport AMF sur
2003
Rapport AMF sur
2004
Publication du
document principal du
cadre de référence par l'IFACI
Travaux sur le guide
d'application
Publication du document par l'AMF + consultation
publique
Rapport AMF sur 2005 et
recommandation AMF sur le cadre
de référence
Transposition ISA 315
7 ©2007 Deloitte Conseil
Le cadre de référence de l’AMF est compatible avec le COSO*. Son guide d’application met l’accent sur le contrôle interne comptable et financier
Recensement, analyse et
gestion des risques
Activités de contrôle
proportionnaux enjeux
Diffusion en interne
d’informations
Surveillance permanente du
dispositif et examen ré
de son fonctionnement
Organisation, responsabilités,
modes opératoires, outils
Recensement, analyse et
gestion des risques
Activités de contrôle
proportionnéesaux enjeux
Diffusion en interne
d’informations
Surveillance permanente du dispositif et
examen régulier de son
fonction-ne-
ment
Organisation, responsabilités
modes opératoires, outils
Activités de Contrôle
Évaluation des Risques
Pilotage
Information et Communication
Activités de Contrôle
Évaluation des Risques
Environnement deContrôle
Un
ité
A
Un
ité
B Act
ivit
é1
Act
ivit
é2
Activités de Contrôle
Évaluation des Risques
Pilotage
Information et Communication
Activités de Contrôle
Évaluation des Risques
Environnement deContrôle
Un
ité
A
Un
ité
B Act
ivit
é1
Act
ivit
é2
*Référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission.
8 ©2007 Deloitte Conseil
Le contexte réglementaireL'environnement international
EUROPE
US
29/06/08 Transposition 8e Directive
SOX : Year 2
Revisionde Turnbull
2004 2005 2006 2007 20082003
UK
12 /01/07Directive
transparence
05/09/08 Transposition
4e et 7e Directive
Audit Standard
2
SOX : Year 1
Revision du combined code
19/12 Roundtable
PCAOB
Premiers rapports
FPI
Nouvelles guidances
SEC et révision du Standard 2
9 ©2007 Deloitte Conseil
Le contexte réglementaireLes évolutions à venir
4ème et 7ème Directives du 14 juin 2006– Approche descriptive des systèmes de contrôle interne
et de gestion des risques
«(…) les sociétés faisant appel public à l’épargne fassent chaque année une description des principales caractéristiques des systèmes de contrôle interne et de gestion des risques (…) »
8ème Directive sur le contrôle légal des comptes du 17 mai 2006– Responsabilité du Comité d’Audit
« (…) Chaque entité d'intérêt public doit être dotée d'un comité d'audit ».
« (…)le comité d'audit est notamment chargé des missions suivantes:
a) suivi du processus d'élaboration de l'information financière;
b) suivi de l'efficacité des systèmes de contrôle interne, d'audit interne, le cas échéant, et de gestion des risques de la société (…) »
29/06/08 Transposition 8e Directive
05/09/08 Transposition
4e et 7e Directive
2008
10 ©2007 Deloitte Conseil
Objectifs et fonctionnement du « groupe de place » AMF
« Groupe de place » établi sous l’égide de l'AMF comportant :– Des représentants des entreprises, de l’IFACI, des institutions comptables, des
personnes qualifiées, de l'AMF,…
– Un « guide d'application relatif au contrôle interne de l’information comptable et financière »
Objectifs :– Mettre un outil de référence à la disposition des entreprises soumises à la LSF
– Contribuer à une plus grande homogénéité dans les rapports du Président
– Anticiper sur les 4ème, 7ème et 8ème directives
– Proposer un cadre compatible avec le COSO
Application :
– Recommandation de l’AMF le 22 janvier 2007 pour les exercices ouverts à compter du 1er janvier 2007
11 ©2007 Deloitte Conseil
La LSF et le cadre de référence de l’AMF, représentent une opportunité réelle pour les acteurs du contrôle interne
Observationdes pratiques
de place
Approche de base Démarche avancée Meilleures pratiques
Contrôle interne ‘tourné vers le passé’
Contrôle interne ‘ancré dans le présent’
Contrôle interne ‘orienté futur’
2003 => 2006
Rédaction d’un étatdes lieux succinctsur le dispositif de
contrôle interne
Identification des insuffisances du
dispositif de contrôle interne et proposition
d’actions d’amélioration
Déploiement d’une approche de gestion globale des risques
>2007
Niveau 1
recenser l’existantet apprécier la pertinence
Niveau 2
confirmer la réalité opérationnelle
Niveau 3
compléter et améliorer
1. Rappels sur le contrôle interne.
2. Le contexte réglementaire.
3. Résultats de nos travaux.
13 ©2007 Deloitte Conseil
Enquête et expérience
Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur banque/assurance, avec un bon niveau de représentativité :
– taux de réponse de près de 30%,
– diversité des entreprises ayant répondu (en termes de chiffre d’affaires, d’effectifs, de secteurs d’activité ou de soumission aux réglementations internationales sur le contrôle interne),
– Près d’un tiers (31,1%) des entreprises sondées sont cotées sur plusieurs places financières. En particulier, 9 sur 31, soit 29% d’entre elles sont listées au New York Stock Exchange ou l’étaient au moment de l’enquête.
14 ©2007 Deloitte Conseil
Deux questions centrales
Est-ce que la fonction Contrôle Interne existe en tant que telle et quel rôlejoue-t-elle ?
– Quelle est la place accordée par les entreprises à la fonction Contrôle Interne lorsqu'elle existe en tant que telle?
– Quel est son rayon d'action?
– Quels sont les moyens dont elle dispose?
– Quelles sont les interactions avec le Risk Management, le Contrôle de Gestion et l'Audit Interne?
Où en sont les sociétés de la Place dans la mise en œuvre d’un dispositif de contrôle interne répondant aux attentes de l’AMF ?
15 ©2007 Deloitte Conseil
Thèmes
Fonction Contrôle Interne et loi Sarbanes Oxley
Relations entre fonctions Audit interne et Contrôle interne
Contrôle interne et analyse des risques
Questionnaires d’autoévaluation
Evaluation du contrôle interne
Prévention et détection des fraudes
Quel référentiel interne ?
16 ©2007 Deloitte Conseil
Fonction Contrôle Interne et loi Sarbanes Oxley
17 ©2007 Deloitte Conseil
La fonction Contrôle Interne commencetout juste à se développer en dehors des sociétéssoumises à Sarbanes Oxley où elle était apparue 1/2
La charge de travail ayant découlé de l’article 404 de Sox a induit les sociétés soumises à cette loi à se doter d’équipes de spécialistes du contrôle interne.
Un peu plus de la moitié des sociétés (56%) ayant répondu à l’enquête disposent aujourd’hui d’un département Contrôle Interne.
La moitié environ d’entre elles ne sont pas soumises à Sox
18 ©2007 Deloitte Conseil
La fonction Contrôle Interne commencetout juste à se développer en dehors des sociétéssoumises à Sarbanes Oxley où elle était apparue 2/2
Les fonctions Contrôle Interne dédiées ont été créées depuis trois ans ou moins pour 77% des départements existant.
Ce calendrier est à rapprocher de celui de la mise en application de la LSF et de Sox en France
Source de cet histogramme et des suivants : Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur banque/assurance
Il y a moins d’1 an 17,1 %
Il y a 1 à 2 ans 17,1 %
Il y a 2 à 3 ans 42,9 %
Il y a plus de 3 ans 22,9 %
Quand votre département de contrôle interne a-t-il été mis en place ?
19 ©2007 Deloitte Conseil
Fonctions Audit interne et Contrôle interne
20 ©2007 Deloitte Conseil
L’Audit Interne reste le contrôleur du contrôle internemais a parfois aussi un rôle de coordination de la fonction Contrôle Interne 1/2
Près de 97% des sociétés sondées ont une équipe d’Audit Internede tailles relativement variables
L’activité du département Contrôle Interne, lorsqu’il existe,est coordonnée par l’Audit Interne dans 50% des cas
21 ©2007 Deloitte Conseil
L’Audit Interne reste le contrôleur du contrôle internemais a parfois aussi un rôle de coordination de la fonction Contrôle Interne 2/2
Ce département n’est audité par l’Audit Interne que pour un tiers des participants. Le défaut d’indépendance pouvant résulter du point précédent est susceptible de générer une difficulté à auditer le département Contrôle Interne
Les missions de contrôle interne représentent 25% environ des missions effectuées par l’Audit Interne
Dans le spectre des missions d’Audit interne, quel est le pourcentage des missions ?
De contrôle interne 25,1 %
D’Audit Opérationnel 21,6 %
D’Audit financier 19 %
15,6 %Conformité
Autres (à préciser) 11,5 %
Conseil 7,2 %
22 ©2007 Deloitte Conseil
La vérification de la conformité est plus attenduede l’Audit Interne que l’assistanceou le conseil au ManagementOn note un retour à une perception de l’Audit Interne « classique » au sein des
sociétés où le service est perçu comme un vérificateur de la conformité pour deux tiers des participants
Quelle notion décrit le mieux le rôle du département d’Audit Interne dans la société ?
Vérification de la conformité
Assistance au Management
Conseil au Management
10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %
Pas du tout d’accord Plutôt d’accord Plutôt pas d’accord Tout à fait d’accord Neutre
23 ©2007 Deloitte Conseil
Contrôle interne et analyse des risques
24 ©2007 Deloitte Conseil
Les sociétés fondent en grande majorité leur plan d’auditsur une analyse des risques
Comment est établi le plan d’audit ?
Selon un plan de rotation
Analyse des risques inhérents
Stratégie, métier et processus
10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %
Pas du tout d’accord Plutôt d’accord Plutôt pas d’accord Tout à fait d’accord Neutre
25 ©2007 Deloitte Conseil
Une large majorité de sociétés déploientune cartographie des risques
La grande majorité (84%) des entreprises réalisent une cartographie des risques
– Le rapport 2006 de l’AMF indiquait déjà que plus de la moitié des sociétés sondées à cette époque avait recours à la cartographie des risques
– Cet outil constitue l’une des composantes de l’approche proposée par le cadre de référence de l’AMF
Exemple de format de
cartographie des risques
26 ©2007 Deloitte Conseil
Généralement annuelle,la cartographie des risques intéresseau premier chef la Direction Générale
Pour gérer les risques identifiés lors de la cartographie, les entreprises ont le plus souvent recours à des outils sur mesure (67%)et non à des progicielsdu marché
Annuellement 50,9 %
Tous les 2 ans 18,9 %
Autres (à préciser) 30,2 %
A quelle fréquence la cartographie est elle mise à jour ?
Par qui les résultats de la cartographie sont-ils suivis ?
Direction Générale 49,1 %
Comité d’Audit 32,1 %
Autres (à préciser) 18,9 %
Conseil de surveillance) 0 %
27 ©2007 Deloitte Conseil
La cartographie des risques s’intéresseà l’ensemble des risques de l’entreprise
Si la fonction Contrôle Interne se concentre plus particulièrement sur les aspects financiers, les personnes chargées du déploiement de la cartographie des risques recensent l’ensemble des risques de l’entreprise pour 71% des sociétés sondées
Quels sont les principaux types de risques identifiés par la société ?
Tous les risques de l’entreprise 71,4 %
Opérationnels et Financiers 19 %
Autres (à préciser) 6,3 %
Opérationnels 3,2 %
28 ©2007 Deloitte Conseil
Malgré l’importance de la cartographie des risques,moins de la moitié des sociétésdispose d’une fonction Gestion des Risques
Un peu moins de la moitié des participants (43%) cite l’existence d’une fonction Gestion des Risques dédiée
Plus de deux tiers (68%) des sociétés soulignent le lien existant entre les fonctions Contrôle Interne, lorsqu’elle existe, et Gestion des Risques
29 ©2007 Deloitte Conseil
Les questionnaires d’autoévaluation
30 ©2007 Deloitte Conseil
Les questionnaires d’auto-évaluation du contrôle interne sont largement répandus et déployés de manière pragmatique
Plus de deux tiers (71%) des sociétés affirment utiliser un questionnaire de contrôle interne
Le cadre de référence de l’AMF préconise, en effet, l’utilisation d’un « questionnaire relatif à l’analyse et à la maîtrise des risques »
31 ©2007 Deloitte Conseil
Les questionnaires d’auto-évaluation du contrôle interne sont largement répandus et déployés de manière pragmatique
Les questionnaires sont de taille raisonnable, ce qui en facilite l’adoption : – 210 questions en moyenne
– questionnaires « courts » (moins de 200 questions) utilisés par 60% des participants à l’enquête
Les questionnaires sont complétés annuellement pour la grande majorité des participants (92%)
Combien de questions comportent votre questionnaire d’autoévaluation du CI ?
Moins de 100 28,9 %
De 100 à 199 31,1 %
De 200 à 299 13,3 %
4,4 %De 300 à 399
De 400 à 499 13,3 %
500 et plus 8,9 %
32 ©2007 Deloitte Conseil
Les trois axes du COSO sont équitablement abordés dans les questionnaires
Le contrôle interne comptable et financier est considéré comme une priorité, ce qui augure favorablement de la mise en place du guide d’application de l’AMF sur ce sujet
Quels sont les thèmes abordés dans les questionnaires de contrôle interne ?
Qualité de l’information financière 65,6 %
Environnement de contrôle 65,6 %
Conformité à la réglementation 62,5 %
46,9 %Efficacité opérationnelle
Autres (à préciser) 12.5 %
Activités de Contrôle
Évaluation des Risques
Pilotage
Information et Communication
Activités de Contrôle
Évaluation des Risques
Environnement deContrôle
Un
ité
A
Un
ité
B Act
ivit
é1
Act
ivit
é2
Activités de Contrôle
Évaluation des Risques
Pilotage
Information et Communication
Activités de Contrôle
Évaluation des Risques
Environnement deContrôle
Un
ité
A
Un
ité
B Act
ivit
é1
Act
ivit
é2
33 ©2007 Deloitte Conseil
L’analyse des réponses aux questionnaires intéressede nombreuses fonctions de l’entreprise
Cinq fonctions sont citées par au moins un quart des personnes sondées comme ayant une implication dans l’analyse des résultats de l’exercice d’auto-évaluation.
– Cette analyse est réalisée principalement par l’Audit Interne (57%) et le Comité Audit (46%)
– Les questionnaires de contrôle interne ne sont analysés par la fonction Contrôle Interne proprement dite que dans 25% des cas environ
Par qui sont suivis les résultats ?
Audit interne 57,1 %
Comité d’Audit 46 %
Direction Financière 34,9 %
30,2 %Direction Générale
Contrôle Interne 25,4 %
Autres (à préciser) 12,7 %
Conseil de Surveillance 3,2 %
34 ©2007 Deloitte Conseil
Evaluation du contrôle interne
35 ©2007 Deloitte Conseil
57% des sociétés procèdent à une évaluation de leur contrôle interne et plus du tiers de ces dernières en communiquent les résultats
L’évaluation du contrôle interne est communiquée à l’extérieur pour environ 21% des participants
Ce constat révèle la volonté des entreprises de renforcer leur transparence vis-à-vis des investisseurs et du marché en général, et de suivre, dans ce sens, les recommandations formulées par l’AMF dans son rapport 2006
L’analyse du contrôle interne dans la société
Donne-t-elle lieu à un pland’actions ?
76,2 %
Aboutit-elle à une évaluation,même non communiquée à l’extérieur 57,1 %
Est-elle purement descriptive ? 25,4 %
20,6 %Aboutit-elle à une évaluation
dont les résultats sont communiquésà l’extérieur ?
36 ©2007 Deloitte Conseil
Prévention et détection des fraudes
37 ©2007 Deloitte Conseil
Les acteurs du contrôle interne doivent être à même de contribuer à la prévention et la détection de la fraude, sujets de préoccupation identifiés comme prioritaires
Plus de 87% des sociétés sondées reconnaissent mener des actions en prévention de la fraude
Les infractions sont principalement détectées grâce à des contrôles ponctuels du management et des missions de l’Audit Interne
L’utilisation des Lignes d’Alerte Ethique commence à voir le jour
Comment sont détectées les fraudes ?
Contrôle ponctuel du Management 27 %
Mission de l’Audit Interne 26 %
Dénonciation 17 %
12 %Ligne d’Alerte Ethique
Mission de l’Audit Externe 11 %
Autres (à préciser) 6 %
38 ©2007 Deloitte Conseil
L’investigation de la fraude incombe traditionnellement à l’Audit Interne
L’Audit Interne est également au centre du processus anti-fraude en étant le plus souvent impliqué dans les investigations (44% des cas environ).
– Un peu moins d’un quart des participants font appel à un spécialiste de la fraude
Qui est en charge de l’investigation en cas de suspicion de fraude ?
L’Audit Interne 43,6 %
Un spécialiste de la fraude 17,9 %
Le Management 17,9 %
10,3 %Autres (à préciser)
Les Ressources Humaines 10,3 %
39 ©2007 Deloitte Conseil
Les programmes anti-fraude formalisés ne font pas recette en dehors des sociétés tenues par Sox d’en déployer un
35% environ des sociétés n’ont qu’une réaction ponctuelle, et non pas systématique, à la suspicion de fraude
Seulement 21% des sociétés disposent de programmes anti-fraude formalisés
Quelle est l’approche fraude dans votre société ?
Réaction ponctuelle à la suspicion 34,9 %
Réactivité systématique à la suspicion 30,2 %
Programmes anti-fraude formalisés 20,9 %
14 %Autres (à préciser)
40 ©2007 Deloitte Conseil
Les lignes éthiques, par contre, commencent à se développer, mais la communication directe avec le Management est privilégiée en cas de suspicion de fraude
Les outils mis à disposition des employés pour signaler la fraude restent limités
Moins de la moitié des sociétés ont mis en place des lignes éthiques spécifiques (e-mail ou e-mail plus numéro de téléphone)
Le canal d’information le plus utilisé est de loin la communication directe avec le Management
Lorsqu’il constate une fraude, de quels outils dispose le salarié pour informer le Management ?
Autres (par ex communication à la hiérarchie) 81,8 %
Email spécifique 41,9 %
Numéro de téléphone spécifique 32,3 %
41 ©2007 Deloitte Conseil
Quel référentiel interne ?
42 ©2007 Deloitte Conseil
Le cadre de référence de l’AMF commence déjà à se substituer à celui du COSO
Plus des trois quart (78%) des sociétés participantes s’appuient sur un référentiel de contrôle interne
Parmi ces sociétés, près des deux tiers (63%) utilisent le COSO comme référentiel de contrôle interne et un peu moins d’un tiers (29%) recourent d’ores et déjà au cadre de référence de l’AMF
COSO 63,3 %
AMF 28,6 %
Interne 8,2 %
Autres (à préciser) 0,0 %
Sur quel référentiel votre société s’appuie-t-elle ?
Deloitte ConseilMember ofDeloitte Touche Tohmatsu
44 ©2007 Deloitte Conseil
Eric DugelayAssocié – en charge du pôle Risk ManagementDeloitte [email protected]+ 33 (0) 1 55 61 54 13
Contacts